フォロー

うーむ、リモートサーバで、Let's Encryptの新しい証明書がエラーになって連合失敗してるとこ、抽出して連絡した方がよさそうだな。気付いてない気がする。

この件、サーバ側で

- ca-certificatesを更新する
- OpenSSL 1.0.2以降に更新する
- DST Root CA X3証明書を無効化する

みたいな感じでいいのかな。

beyondjapan.com/blog/2021/10/l

CentOS 6 はさすがにアレなのでCentOS 7 以降あるいはUbuntu 20.04.3 LTSなどに移行する。

確実に必要なのはISRG Root X1が証明書ストアに入っていることで、libresslとか古いopensslとかではDST Root X3を証明書ストアから消す必要もあります。多くのLinuxの現在サポートされてるバージョンではca-certificatesを更新することでISRG Root X1が入ってDST Root X3が消えそうです。証明書ストアをいじれない場合にはライブラリを更新する必要があります。httpclient gemとか自前の証明書ストアを持ってるライブラリは別途更新するか証明書ストアをいじる必要があります。めんどー

ログインして会話に参加
Fedibird

様々な目的に使える、日本の汎用マストドンサーバーです。安定した利用環境と、多数の独自機能を提供しています。